Lexipedia

17.3531 · Interpellation · 2017-06-15

Département de l'intérieur

Liquidé

Wortlaut

Personne ne trouverait rien à objecter si la Poste, les CFF, UBS, Swisscom, Credit Suisse ou d'autres sociétés mettaient au point des moyens d'identification électronique. C'est d'ailleurs déjà le cas, et quand ces entreprises s'efforcent d'améliorer ou d'uniformiser leur service d'identification électronique (e-ID), on ne peut que saluer cette initiative. La confiance accordée à un service d'identification électronique est essentielle et doit être garantie par l'État lui-même (ou par un tiers mandaté). Finalement, la question fondamentale soulevée par l'e-ID est de trouver la manière dont les infrastructures de données existantes appartenant à l'État ou à des entreprises proches de l'État doivent être exploitées pour le public. C'est pourquoi surgit la question de la confiance accordée à l'e-ID, en particulier dans le domaine de la santé.

Dès lors, le Conseil fédéral est prié de répondre aux questions suivantes :

1. Comment les patients peuvent-ils être totalement assurés qu'un système d'e-ID est aussi en mesure de garantir la protection de leurs données personnelles ?

2. Qu'entreprend le Conseil fédéral pour encourager l'introduction d'une identification numérique à l'échelle de la Suisse, ce qui favoriserait la confiance dans l'e-ID et augmenterait la sécurité de la numérisation dans le domaine de la santé ?

3. A-t-on déjà procédé à une analyse des risques et opportunités liés à la numérisation dans le domaine de la santé ?

Stellungnahme des Bundesrates

1. Les profils de protection et les normes ISO actuels pour la certification d'éditeurs de moyens d'identification (par ex. ISO/IEC 27001 :2013 et ISO/IEC 29115 :2013) accordent une grande importance à la protection et à la sécurité des données, tant au niveau technique qu'en ce qui concerne le personnel impliqué dans l'émission d'un moyen d'identification et les processus à respecter. Est ainsi garantie une réaction adéquate en cas d'événements relevant de la sécurité, comme la compromission du moyen d'identification. Lesdits profils et normes s'appliquent aussi bien aux éditeurs privés qu'étatiques de moyens d'identification. Le respect de ces exigences est aujourd'hui déjà requis dans la législation d'exécution afférente à la loi fédérale sur le dossier électronique du patient (LDEP ; RS 816.1) pour les moyens d'identification qui peuvent être utilisés pour l'accès au dossier électronique du patient (art. 23 de l'ordonnance sur le dossier électronique du patient, ODEP ; RS 816.11). Les futures dispositions d'exécution afférentes à la loi fédérale sur les moyens d'identification électronique reconnus (loi e-ID) respecteront et refléteront le niveau de protection de l'ODEP. Il sera de la sorte garanti que les moyens d'identification selon la loi e-ID sont conformes à la LDEP et à ses normes juridiques.

2. Le Conseil fédéral a procédé du 22 février 2017 au 29 mai 2017 à la consultation concernant la loi e-ID. Celle-ci prévoit que des éditeurs de moyens d'identification privés ou publics appropriés pourront obtenir auprès d'un organisme de reconnaissance au niveau fédéral une autorisation pour émettre des moyens d'identification électronique reconnus par l'État. Des systèmes existants ou en cours d'élaboration, comme les projets de la Poste et des CFF ainsi que des banques et de Swisscom, pourront ainsi être reconnus par la Confédération. Les moyens d'identification ainsi reconnus pourront ensuite aussi être utilisés le moment venu dans le domaine de la santé. D'ici l'entrée en vigueur de la loi e-ID, les éditeurs des moyens d'identification électronique prescrits pour les accès au dossier électronique du patient devront passer par la procédure de certification définie dans la LPED. Cette procédure - comme cela est également prévu dans la loi e-ID - s'aligne sur les règles existantes dans le domaine des signatures électroniques, de sorte à favoriser, pour les éditeurs reconnus de moyens d'identification, des synergies s'agissant des certifications demandées.

3. La Confédération et les cantons travaillent depuis dix ans à la mise en oeuvre de la Stratégie eHealth Suisse du 27 juin 2007. Dans le cadre de ces travaux, les chances et les risques liés à la numérisation ont aussi constamment fait l'objet de discussions dont les résultats ont été intégrés aux travaux en cours. Une attention particulière a par exemple été portée à la protection des données et à la sécurité des données lors de l'élaboration des bases juridiques pour le dossier électronique du patient. La discussion sur les chances et les risques liés à cette nouvelle technologie ainsi que sur les questions liées à la protection et à la sécurité des données a également servi de base pour la formulation des recommandations émises par eHealth Suisse, le centre de compétences et de coordination de la Confédération et des cantons, qui portent sur les applis santé ou les "wearables" comme des bracelets de fitness (cf. www.e-health-suisse.ch > Mise en oeuvre et communautés > Activités eHealth > mHealth).

C'est d'ailleurs pourquoi la Confédération et les cantons élaborent actuellement la Stratégie eHealth Suisse 2.0 dans le cadre de la mise en oeuvre de la Stratégie Suisse numérique, que le Conseil fédéral a adoptée en avril 2016 (cf. entre autres la prise de position du Conseil fédéral sur le postulat Heim 17.3435, "Agenda numérique en matière de santé. Identifier les chances et les risques", ainsi que sur le postulat Graf-Litscher 17.3434, "Durabilité numérique dans le domaine de la santé. Identifier le potentiel et poser le cadre nécessaire").

La résilience du secteur critique "Soins médicaux et hôpitaux" est en outre analysée dans le cadre de la Stratégie nationale de protection de la Suisse contre les cyberrisques et de la Stratégie nationale pour la protection des infrastructures critiques. La vulnérabilité des technologies de l'information et de la communication ainsi que les cyberrisques y font l'objet d'un examen approfondi, et des mesures sont élaborées pour améliorer la situation. Ces travaux font l'objet de mises à jour régulières afin de tenir compte de l'évolution des conditions-cadres (par ex. utilisation de nouvelles technologies dans le domaine des moyens d'identification).

Réponse du Conseil fédéral.